Condições do gatilho em um item de configuração

Gestão de Segurança de Washington DC

Release

washingtondc

ft:locale

pt-BR

ft:publication_title

Gestão de Segurança de Washington DC

ft:clusterId

security

bundleId

security

workflow

Technology

Condições do gatilho em um item de configuração

Versão de lançamento: Washingtondc

Atualizado 1 de fev. de 2024

2 min. de leitura

Depois de criar um perfil e selecionar os recursos Microsoft Defender for Endpoint que você deseja que o perfil execute, defina as configurações do perfil para que o perfil seja executado somente quando um conjunto de condições específicas for atendido.

Como acionar condições em um item de configuração

Você pode definir condições do gatilho para que o perfil seja executado automaticamente sempre que um incidente de segurança for criado que corresponda à condição do gatilho. Se a condição do gatilho não estiver definida, esses perfis poderão ser executados manualmente, clicando no formulário Executar perfil(is) de EDR no incidente de segurança e selecionando o perfil.

Por padrão, a integração usa o campo Item de configuração (IC) no incidente de segurança. Este valor é usado para corresponder os IDs de seus ativos às informações armazenadas no Now Platform Configuration Management Database (CMDB). Quando um incidente de segurança é criado e um perfil é executado automaticamente ou manualmente, o CMDB é pesquisado para recuperar o nome do host ou o endereço IP com base no valor do campo de IC. O nome do host ou IP é usado para resolver o ID do agente em Microsoft Defender for Endpoint para identificar o endpoint.

Em um cenário ideal, um valor correspondente é encontrado no banco de dados e os dados são coletados do console Microsoft Defender for Endpoint para o ativo correspondente. Os dados de vários recursos são inseridos em sua instância Now Platform Configuration Management Database (CMDB) e exibidos nas listas relacionadas de um incidente de segurança. Quando o campo Item de configuração (IC) não estiver preenchido no incidente de segurança com um nome de host com ou um endereço IP que corresponda ao banco de dados, você poderá selecionar um campo alternativo no incidente de segurança que contenha o nome do host ou o IP a ser executado a resolução do ID do agente.

Durante a etapa de configuração da configuração do perfil, você pode selecionar um campo de IC alternativo para identificação do endpoint para garantir que você possa identificar o endpoint em Microsoft Defender for Endpoint. Você pode selecionar qualquer campo no incidente de segurança como um campo de gatilho de IC alternativo, incluindo campos personalizados que você cria. Ao selecionar este campo de IC alternativo como backup, você garante que seus perfis sejam executados mesmo se o campo de IC não estiver preenchido no incidente de segurança associado na criação do incidente.

Nota:

Os campos de IC alternativos são considerados somente para recursos que podem ser adicionados a um perfil. Esses recursos incluem Obter detalhes do host, Obter usuários conectados, Isolar host e Remover isolamento. Para todas as ações adicionais, o IC alternativo deve ser configurado no módulo Configurações padrão.